Một công ty “nhận gạch đá” vì sử dụng CVE chưa tiết lộ trong nhiều tháng

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat Team, 15/11/21, 12:11 PM.

  1. WhiteHat Team

    WhiteHat Team Administrators Thành viên BQT

    Tham gia: 09/04/20, 02:04 PM
    Bài viết: 183
    Đã được thích: 41
    Điểm thành tích:
    28
    Giới an ninh mạng đang khá nóng mắt với vụ việc một lỗ hổng nghiêm trọng có điểm CVSS 9.8/10 ảnh hưởng đến thiết bị tường lửa của Palo Alto Networks có bật GlobalProtect Portal VPN. Tranh cãi nổ ra bởi công ty chuyên về An ninh mạng Randori đã sử dụng lỗ hổng này trong gần một năm để Red Team của họ kiểm thử xâm nhập trước khi tiết lộ cho nhà sản xuất.

    Randori_Icon_for_business_wire.jpg

    Randori đã thực hiện nghiên cứu khai thác lỗ hổng CVE-2021-3064 ảnh hưởng đến nhiều phiên bản PAN-OS sử dụng tường lửa được đề cập ở trên, khiến hơn 10.000 thiết bị có kết nối Internet bị kẻ tấn công khai thác.

    Công ty này cho biết họ đã bắt đầu nghiên cứu GlobalProtect Portal VPN vào tháng 10 năm ngoái và phát hiện ra lỗi tràn bộ đệm và bỏ qua xác thực của máy chủ web bên ngoài bằng kỹ thuật HTTP smuggling.

    Vào tháng 12 năm 2020, họ đã bắt đầu "được phép sử dụng chuỗi lỗ hổng ninh" như một phần của nền tảng tấn công tự động cho Red Team.

    Tuy nhiên, cho đến tháng 9 và tháng 10 năm nay, Randori mới tiết lộ lỗi tràn bộ đệm và lỗi HTTP smuggling cho Palo Alto Networks và được hãng này gán mã định danh CVE cho các lỗ hổng.

    Palo Alto Networks đã phát hành các bản vá đó, nhưng Randori vẫn chưa giải thích lý do tại sao phải mất chín tháng để báo cáo các lỗ hổng cho nhà cung cấp.

    Điều này đã dấy lên tranh cãi trong cộng đồng an toàn thông tin về đạo đức nghề nghiệp của Randori khi không tiết lộ lỗ hổng an ninh ngay khi tìm được cho Palo Alto Networks.

    Có vẻ như Palo Alto Networks đã âm thầm sửa lỗi này vào tháng 9 năm ngoái nhưng liệu đó có phải là cố ý hay không thì không ai biết.

    Palo Alto Networks vẫn chưa giải thích lý do tại sao họ lại chỉ gán một CVE trong năm nay cho lỗ hổng này và phát hành các bản vá chính thức sau đó.

    Nguồn: itnews
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan